प्लेटफ़ॉर्म
wordpress
घटक
fw-gallery
में ठीक किया गया
8.0.1
CVE-2025-49415 एक पथ पारगमन भेद्यता है जो Fastw3b LLC FW Gallery में पाई गई है। यह भेद्यता हमलावरों को प्रतिबंधित निर्देशिकाओं के बाहर फ़ाइलों तक पहुँचने की अनुमति देती है, जिससे संभावित रूप से संवेदनशील जानकारी का खुलासा हो सकता है। यह भेद्यता FW Gallery के संस्करण 0.0.0 से लेकर 8.0.0 तक के संस्करणों को प्रभावित करती है। संस्करण 8.0.1 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को सर्वर पर मनमाने ढंग से फ़ाइलों को पढ़ने की अनुमति देती है। हमलावर कॉन्फ़िगरेशन फ़ाइलों, स्रोत कोड या अन्य संवेदनशील डेटा तक पहुँच सकते हैं। यदि हमलावर वेब सर्वर के लिए विशेषाधिकार प्राप्त उपयोगकर्ता के रूप में लॉग इन कर सकता है, तो वे सिस्टम पर अधिक नियंत्रण प्राप्त कर सकते हैं। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह प्रमाणीकरण की आवश्यकता के बिना शोषण किया जा सकता है। एक सफल शोषण से डेटा उल्लंघन, सिस्टम समझौता और सेवा व्यवधान हो सकता है। इस भेद्यता का शोषण लॉग4शेल जैसी अन्य भेद्यताओं के समान पैटर्न का पालन कर सकता है, जहां हमलावर अप्रत्याशित फ़ाइलों को एक्सेस करने के लिए सिस्टम की कार्यक्षमता का दुरुपयोग करते हैं।
CVE-2025-49415 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी उच्च CVSS स्कोर (8.6) इंगित करती है कि यह शोषण के लिए एक आकर्षक लक्ष्य है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, जो हमलावरों के लिए भेद्यता का शोषण करना आसान बना सकते हैं। इस CVE को CISA KEV सूची में जोड़ा गया है या नहीं, इसकी जानकारी उपलब्ध नहीं है। NVD और CISA ने 2025-06-17 को प्रकाशन की तारीख दर्ज की है।
WordPress websites utilizing the FW Gallery plugin, particularly those running older versions (0.0.0 - 8.0.0), are at significant risk. Shared hosting environments where users have limited control over plugin updates are especially vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/fw-gallery/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/fw-gallery/../../../../etc/passwddisclosure
एक्सप्लॉइट स्थिति
EPSS
0.10% (26% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-49415 को कम करने के लिए, FW Gallery को संस्करण 8.0.1 में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके पथ पारगमन हमलों को ब्लॉक किया जा सकता है। WAF नियमों को उन अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए जिनमें पथ पारगमन पैटर्न शामिल हैं, जैसे कि ../ अनुक्रम। इसके अतिरिक्त, फ़ाइल सिस्टम अनुमतियों को सख्त किया जाना चाहिए ताकि केवल अधिकृत उपयोगकर्ताओं को संवेदनशील फ़ाइलों तक पहुँचने की अनुमति हो। फ़ाइल सिस्टम अनुमतियों को कॉन्फ़िगर करते समय 'न्यूनतम विशेषाधिकार' सिद्धांत का पालन करना महत्वपूर्ण है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता को सफलतापूर्वक संबोधित किया गया है, फ़ाइल सिस्टम अनुमतियों और WAF नियमों की समीक्षा करें।
Actualice el plugin FW Gallery a la última versión disponible para solucionar la vulnerabilidad de recorrido de directorio. Verifique las actualizaciones disponibles en el panel de administración de WordPress o a través del repositorio de plugins de WordPress. Asegúrese de realizar una copia de seguridad completa del sitio antes de actualizar cualquier plugin.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-49415 एक पथ पारगमन भेद्यता है जो हमलावरों को प्रतिबंधित निर्देशिकाओं के बाहर फ़ाइलों तक पहुँचने की अनुमति देती है, जिससे संवेदनशील जानकारी का खुलासा हो सकता है।
यदि आप FW Gallery के संस्करण 0.0.0 से लेकर 8.0.0 तक का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-49415 को ठीक करने के लिए, FW Gallery को संस्करण 8.0.1 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो WAF नियमों का उपयोग करें।
CVE-2025-49415 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी उच्च CVSS स्कोर इंगित करती है कि यह शोषण के लिए एक आकर्षक लक्ष्य है।
आधिकारिक सलाहकार के लिए Fastw3b LLC की वेबसाइट या संबंधित सुरक्षा बुलेटिन बोर्ड की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।